ทำความเข้าใจ SPF, DKIM และ DMARC ก่อนเริ่มแคมเปญอีเมลหาลูกค้าองค์กร
ทีมขายที่เริ่มทำ cold email หาลูกค้าองค์กรมักได้ยินคำว่า SPF, DKIM, DMARC พร้อมกันจนเข้าใจผิดว่าเป็นระบบเดียวกันหรือทำหน้าที่ซ้ำซ้อนกัน ความจริงแล้วทั้งสามป้องกันการปลอมแปลงอีเมลคนละจุด หากตั้งค่าไม่ครบหรือตั้งผิดลำดับ Gmail และ Outlook จะมองโดเมนของธุรกิจเป็นความเสี่ยงและส่งอีเมลไปกล่องสแปมทันที บทความนี้ไล่ทีละตัวว่า SPF DKIM และ DMARC ต่างกันอย่างไร และทำไมต้องตั้งให้ครบทั้งสามก่อนเริ่มแคมเปญ
- SPF ตรวจว่า IP ที่ส่งอีเมลได้รับอนุญาตจากโดเมนหรือไม่ แต่ตรวจแค่ envelope sender ไม่ใช่ From ที่ผู้รับเห็น
- DKIM เซ็นลายเซ็นดิจิทัลในเนื้ออีเมล ยืนยันว่าข้อความไม่ถูกแก้ไขระหว่างทาง และรอดจากการ forward ต่างจาก SPF
- DMARC เป็นชั้นที่เชื่อม SPF กับ DKIM เข้าด้วยกัน กำหนดว่าจะทำอะไรกับอีเมลที่ยืนยันตัวตนไม่ผ่าน พร้อมส่งรายงานย้อนกลับ
- ขาดระบบใดระบบหนึ่งไป inbox placement ของแคมเปญ B2B มักลดลงอย่างมีนัยสำคัญ
- ควรตั้ง SPF DKIM และ DMARC ให้ครบ แล้วไล่ policy ของ DMARC จาก none ไป quarantine ก่อนค่อยไป reject
ทำไมโดเมนธุรกิจต้องมี SPF DKIM และ DMARC ก่อนเริ่ม cold email
ผู้ให้บริการอีเมลรายใหญ่อย่าง Gmail และ Outlook ตรวจสอบผู้ส่งทุกฉบับด้วยมาตรฐานเปิดสามชั้นก่อนตัดสินใจว่าจะวางอีเมลไว้ที่ inbox, promotions หรือ spam โดเมนที่ใช้ส่ง cold email หาลูกค้าองค์กรจึงต้องผ่านการตรวจนี้ทุกครั้ง เพราะมักเป็นโดเมนหลักที่ใช้รับใบแจ้งหนี้ ตอบกลับลูกค้า และติดต่อพันธมิตรธุรกิจด้วย
SPF DKIM DMARC ทั้งสามเป็น record ที่ประกาศไว้ใน DNS ของโดเมน เซิร์ฟเวอร์ผู้รับจะดึงมาตรวจอัตโนมัติในเสี้ยววินาทีก่อนส่งต่ออีเมลเข้ากล่องผู้รับ ถ้าขาดตัวใดตัวหนึ่ง โดเมนจะดูเหมือนไม่มีตัวตนชัดเจน ซึ่งเป็นสัญญาณเดียวกับที่ผู้ปลอมแปลงโดเมน (spoofing) ใช้ตอนหลอกส่งอีเมล
- IP หรือเซิร์ฟเวอร์นี้ได้รับอนุญาตให้ส่งแทนโดเมนนี้จริงหรือไม่ — คำถามของ SPF
- เนื้อหาอีเมลถูกแก้ไขระหว่างทางหรือไม่ — คำถามของ DKIM
- ถ้าตรวจไม่ผ่าน ผู้รับควรทำอะไรกับอีเมลนั้น — คำถามของ DMARC
SPF (Sender Policy Framework) ป้องกันอะไร
SPF คือ TXT record ที่ระบุรายชื่อ IP หรือเซิร์ฟเวอร์ที่ได้รับอนุญาตให้ส่งอีเมลในนามโดเมนนั้น เมื่ออีเมลเดินทางมาถึง เซิร์ฟเวอร์ผู้รับจะเช็ค IP ต้นทางกับรายชื่อใน SPF record ถ้าไม่ตรงจะถือว่าอาจเป็นการปลอมแปลง
ข้อจำกัดที่ทีมขายมักไม่รู้คือ SPF ตรวจแค่ envelope sender (ที่อยู่ทางเทคนิคของ SMTP) ไม่ใช่ที่อยู่ From ที่ผู้รับเห็นในกล่องจดหมาย และ SPF จะพังทันทีเมื่ออีเมลถูก forward ผ่านเซิร์ฟเวอร์อื่น เพราะ IP ต้นทางเปลี่ยนไป นอกจากนี้ DNS มาตรฐานอนุญาตให้เช็ค include ได้ไม่เกิน 10 ครั้งต่อการตรวจหนึ่งรอบ ถ้าองค์กรใช้หลายเครื่องมือส่งอีเมลจนเกินโควตานี้ SPF จะ fail แบบเงียบๆ โดยไม่มีข้อความเตือนชัดเจน
ตัวอย่างเช่นบริษัทสยามโลจิสติกส์ใช้ทั้ง Google Workspace และแพลตฟอร์ม LDM ในการส่ง cold email จึงต้องรวม include ไว้ในเส้นเดียว: v=spf1 include:_spf.google.com include:mail.ldm-platform.com ~all — ห้ามสร้าง SPF record สองเส้นแยกกันเด็ดขาด เพราะ DNS จะยอมรับได้แค่เส้นเดียวต่อโดเมน
DKIM (DomainKeys Identified Mail) ป้องกันอะไร
DKIM ใช้กลไกกุญแจคู่ (public/private key) เซ็นลายเซ็นดิจิทัลลงในหัวและเนื้อหาอีเมลก่อนส่งออก แล้วเผยแพร่กุญแจสาธารณะไว้ที่ DNS record รูปแบบ selector._domainkey.โดเมน ผู้รับจะใช้กุญแจนี้ตรวจว่าลายเซ็นตรงกับเนื้อหาที่ได้รับจริงหรือไม่
ต่างจาก SPF ตรงที่ DKIM ตรวจสอบ 'ความสมบูรณ์ของเนื้อหา' ไม่ใช่ตรวจ IP ต้นทาง จึงยังทำงานได้แม้อีเมลถูก forward ต่อหลายทอด เพราะลายเซ็นติดไปกับตัวข้อความเสมอ อย่างไรก็ตาม DKIM เพียงอย่างเดียวไม่ได้ยืนยันว่าผู้ส่งมีสิทธิ์ใช้โดเมนนั้นจริง มันแค่บอกว่าใครก็ตามที่ถือกุญแจส่วนตัวเป็นคนเซ็น ซึ่งอาจเป็นกุญแจของเครื่องมือที่ทีมไม่รู้จักก็ได้ถ้าไม่หมุนคีย์ (rotate) เป็นระยะ
DMARC ทำหน้าที่อะไร และทำไมสำคัญที่สุดในสาม
DMARC คือชั้นที่เชื่อม SPF และ DKIM เข้าด้วยกันผ่านกระบวนการที่เรียกว่า alignment คือตรวจว่าโดเมนที่ผ่าน SPF หรือ DKIM ตรงกับโดเมนใน From header ที่ผู้รับเห็นจริงหรือไม่ ถ้าไม่ตรง DMARC จะสั่งให้ผู้รับทำตาม policy ที่ประกาศไว้ ตั้งแต่ p=none (แค่สังเกตการณ์) p=quarantine (ส่งเข้า spam) ไปจนถึง p=reject (บล็อกทันที)
จุดที่ทำให้ DMARC สำคัญที่สุดคือมันให้ 'รายงานย้อนกลับ' ผ่าน tag rua ทีมสามารถเห็นได้ว่ามีใครพยายามปลอมแปลงส่งอีเมลในนามโดเมนตัวเองบ้าง และเห็นว่าเครื่องมือส่งอีเมลตัวไหนของทีมยังตั้งค่า SPF หรือ DKIM ไม่ถูก โดเมนที่ไม่มี DMARC เลยจะเปิดช่องให้ใครก็ได้ปลอมอีเมลในนามบริษัท ซึ่งบั่นทอนความน่าเชื่อถือของแคมเปญ cold email ที่ส่งจากโดเมนเดียวกันไปด้วย
ตัวอย่าง DMARC record สำหรับเริ่มต้นแบบระมัดระวัง: v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-reports@siamlogistics.co.th — เริ่มด้วย pct=50 เพื่อทดลองกับอีเมลครึ่งหนึ่งก่อน แล้วค่อยขยับเป็น 100 เมื่อรายงานสะอาด
Inbox placement ต่างกันแค่ไหนเมื่อขาดระบบใดระบบหนึ่ง
จากการรันแคมเปญอีเมลแบบเจาะจงกลุ่มเป้าหมาย (targeted B2B) ให้ลูกค้าหลายโดเมนบนแพลตฟอร์ม LDM พบรูปแบบที่ชัดเจนว่าอัตราการเข้ากล่องหลักเพิ่มขึ้นทุกครั้งที่เพิ่มระบบยืนยันตัวตนเข้าไปอีกชั้น โดยเฉพาะช่วงที่มีการ warm-up โดเมนใหม่ก่อนเริ่มส่งจริง
ตัวเลขด้านล่างเป็นค่าประมาณจากประสบการณ์ปฏิบัติงานจริง ไม่ใช่ผลวิจัยตายตัว เพราะ inbox placement ยังขึ้นกับปัจจัยอื่นเช่นอายุโดเมน ปริมาณส่งต่อวัน และเนื้อหาอีเมลด้วย
ตัวเลขเป็นค่าประมาณจากประสบการณ์รันแคมเปญ B2B แบบเจาะจงกลุ่มเป้าหมาย ไม่ใช่ผลวิจัยที่ตายตัว
ข้อผิดพลาดที่พบบ่อยเมื่อตั้งค่า SPF DKIM และ DMARC
ทีมที่ตั้งค่าเองมักพลาดในจุดเดิมซ้ำๆ เพราะเข้าใจว่าแค่มี record อยู่ก็เพียงพอ ทั้งที่รายละเอียดของค่าที่ตั้งมีผลต่อการตรวจสอบทั้งหมด
- มี SPF record มากกว่าหนึ่งเส้นในโดเมนเดียว ทั้งที่ DNS อนุญาตแค่เส้นเดียว ต้องรวม include ทั้งหมดไว้ในเส้นเดียวกัน
- ใส่ include หรือ IP จน SPF เกิน 10 DNS lookup ทำให้เกิด permerror และ SPF fail แบบไม่มีใครสังเกต
- เปิด DMARC เป็น p=reject ทันทีโดยไม่ดู report ก่อน ทำให้อีเมลที่ผ่าน SPF หรือ DKIM ไม่ครบจากเครื่องมือบางตัวถูกบล็อกหมด
- ใช้ DKIM selector เดิมหลายปีโดยไม่หมุนคีย์ เพิ่มความเสี่ยงหากกุญแจส่วนตัวรั่วไหล
- ส่ง cold email จำนวนมากจากโดเมนหลักที่ใช้รับใบแจ้งหนี้และเอกสารสำคัญ แทนที่จะแยก subdomain สำหรับแคมเปญโดยเฉพาะ
- ปล่อย DMARC เป็น p=none ตลอดไปโดยไม่เคยขยับ ทั้งที่ report ยืนยันมาหลายสัปดาห์แล้วว่าปลอดภัย
Checklist ก่อนยิงแคมเปญ และแนวทางที่ LDM ใช้กับลูกค้า
LDM ตั้งค่าโดเมนของลูกค้าใหม่ทุกรายด้วยขั้นตอนเดียวกัน คือแยก subdomain สำหรับแคมเปญ cold email ออกจากโดเมนหลัก รวม SPF include ของทุกเครื่องมือที่ใช้จริงไว้ในเส้นเดียว ตั้ง DKIM ที่ผู้ให้บริการทุกตัวและวางแผนหมุนคีย์เป็นระยะ ก่อนเปิด DMARC แบบ p=none พร้อม rua เพื่อเฝ้าดู report อย่างน้อย 2-4 สัปดาห์ แล้วจึงขยับเป็น quarantine และ reject ตามลำดับเมื่อมั่นใจว่าไม่มีแหล่งส่งที่ตกหล่น
อีกเรื่องที่ทีมขายมักมองข้ามคือ cold email หาผู้ติดต่อรายบุคคลในองค์กร (เช่น somchai@siamlogistics.co.th) เข้าข่ายการประมวลผลข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) แม้จะอาศัยฐานประโยชน์อันชอบด้วยกฎหมาย (legitimate interest) ในการติดต่อทางธุรกิจได้โดยไม่ต้องขอความยินยอมล่วงหน้า แต่ต้องมีช่องทาง opt-out ที่ชัดเจนในทุกฉบับ เก็บข้อมูลเท่าที่จำเป็น และพร้อมลบข้อมูลเมื่อผู้รับร้องขอ
- ตรวจว่ามี SPF record เดียวและไม่เกิน 10 DNS lookup
- ตั้ง DKIM ให้ครบทุกผู้ให้บริการที่ใช้ส่งอีเมลจริง
- เปิด DMARC เริ่มจาก p=none พร้อม rua แล้วเฝ้า report อย่างน้อย 2-4 สัปดาห์
- ขยับเป็น p=quarantine แล้วค่อย p=reject เมื่อ report สะอาด
- แยก subdomain สำหรับแคมเปญ cold email ออกจากโดเมนหลักที่ใช้รับเอกสารสำคัญ
- ใส่ช่องทาง opt-out ชัดเจนและเก็บข้อมูลผู้ติดต่อให้สอดคล้องกับ PDPA
คำถามที่พบบ่อย
ตั้งแค่ SPF อย่างเดียวพอไหมสำหรับ cold email B2B
ไม่พอ SPF ตรวจแค่ IP ต้นทางและพังทันทีเมื่ออีเมลถูก forward ต้องมี DKIM ยืนยันความสมบูรณ์ของเนื้อหา และ DMARC เป็นตัวตัดสินใจว่าจะทำอะไรเมื่อตรวจไม่ผ่าน ถ้ามีแค่ SPF โดเมนยังเสี่ยงถูกปลอมแปลงและ inbox placement มักต่ำกว่าที่ควรจะเป็น
SPF DKIM และ DMARC ต้องตั้งพร้อมกันไหม หรือทำทีละตัวได้
ตั้งทีละตัวได้ แต่ต้องมีครบทั้งสามก่อนเริ่มยิงแคมเปญปริมาณมาก ลำดับที่แนะนำคือ SPF และ DKIM ก่อนเพราะเป็นพื้นฐานที่ DMARC ต้องอ้างอิงตรวจ alignment แล้วจึงเปิด DMARC แบบ p=none เพื่อดู report ก่อนขยับ policy ให้เข้มขึ้น
ถ้าใช้หลายเครื่องมือส่งอีเมล ต้องทำยังไงกับ SPF
รวม include ของทุกเครื่องมือไว้ใน SPF record เส้นเดียว ห้ามสร้างหลายเส้น และต้องระวังไม่ให้จำนวน DNS lookup รวมเกิน 10 ครั้ง ถ้าเกินให้พิจารณาลดเครื่องมือที่ใช้จริงหรือใช้ subdomain แยกสำหรับบางบริการแทน
DMARC p=reject จะบล็อกอีเมลของทีมขายเองไหม
ถ้าตั้งค่า SPF และ DKIM ครบถ้วนสำหรับทุกเครื่องมือที่ใช้จริง อีเมลที่ถูกต้องจะผ่านและไม่ถูกบล็อก แต่ถ้ามีเครื่องมือใดตกหล่นจากรายการ include หรือ DKIM ยังไม่ได้ตั้ง อีเมลจากเครื่องมือนั้นจะถูกปฏิเสธทันที จึงควรดู report จาก p=quarantine ให้สะอาดก่อนขยับไป reject
cold email เกี่ยวอะไรกับ PDPA
อีเมลที่ส่งหาผู้ติดต่อรายบุคคลในองค์กรเข้าข่ายข้อมูลส่วนบุคคลตาม PDPA แม้จะใช้ฐานประโยชน์อันชอบด้วยกฎหมายในการติดต่อธุรกิจได้โดยไม่ต้องขอความยินยอมก่อน แต่ต้องมีช่องทาง opt-out ชัดเจน เก็บข้อมูลเท่าที่จำเป็น และตอบสนองคำขอลบข้อมูลของผู้รับ
อยากนำวิธีนี้ไปใช้กับ outreach ของคุณไหม
เราจะแสดงให้เห็นว่ามันทำงานอย่างไรกับกลุ่มเป้าหมายและสินค้าของคุณ ก่อนเริ่มงานจริง
คุยกับเรา